По моему опыту, самые простые и рабочие меры — это всегда фильтровать входящие данные и ставить csrf-токены в формы. Особенно в админках и там, где можно что-то редактировать. Без этого код на сайте реально летит за пару минут. Ну и не забывать про обновления — всегда какой-то свежий патч закрывает дырки, которые рвут сессии и пускают чужие скрипты. Вроде простое, но часто игнорируется.